Failed to log in via user account "admin". Source IP: 35.237.97.10

[MimmoLagonigro]

buonasera oggi ho avuto delle notifiche di errore login con questa dicitura:
[Users] Failed to log in via user account "admin". Source IP address: 35.237.97.10

dopo i primi allert mi è arrivato il blocco dello stesso come da me impostato
[Security] Added IP address "35.237.97.10" to IP block list. Duration: for 1 day

ho cercato la provenienza dell'IP e mi da i seguenti dati:
IP address 35.237.97.10
Hostname 10.97.237.35.bc.googleusercontent.com
Organization google.com
ISP Google LLC

qualcuno sa dirmi come procedere?

tramite google ho dato il consenso ad accedere alle seguenti applicazioni Q'Center e QTS per poter impostare le notifiche ed altro sul NAS

[B747]

ciao,
anche a me è la seconda volta che succede qualcosa del genere nel giro di una settimana. La mattina di qualche gg fa mi sono trovato 150 email uguali che mi allertavano di questi tentativi durati per oltre un'ora (ad una media di circa 2 al minuto) ma, non capisco perchè, nel mio caso l'ip non è stato bloccato nonostante le impostazioni presenti nel pannello sicurezza, qualcuno ha una spiegazione? grazie!

[PiaNi]

Probabilmente i tentativi sono meno di 5 al minuto, fai un controllo più preciso, calcolatrice alla mano.
Oppure irrigidisci i parametri.

[nicolam]

Buonasera, anch'io registro, dopo molti mesi, alcun tentativi di attacchi su "admin", ho dovuto restringere i parametri a 5 tentativi in 1 minuto, anche se pare siano riusciti lo stesso a provare senza essere sbattuti fuori (cfr immagine)

A questo punto, visto che il periodo sta rendendo più aggressivi gli hacker, vi chiedo un paio di suggerimenti:
1) ha senso rinominare l'admin predefinito? Premesso che - su suggerimento prezioso di FFFAB - ho già da molto tempo eliminato da admin il controllo delle cartelle di dati, resta il fatto che dall'esterno tutti cercano "admin" per tentare di accedere. Se dovessi cambiarlo, è sufficiente seguire le istruzioni della guida https://www.qnap.com/it-it/how-to/faq/a ... edefinito/ ??

2) l'accesso al NAS via web avviene tramite la solita porta 8080 (sia interna che esterna). Ha senso modificare questa impostazione in modo che da fuori non trovino nulla?

Grazie Nicola

[nicolam]

P.s. chiedo scusa, ancora una domanda: ogni settimana, alla stessa ora (le 6.00) trovo una connessione del NAS con il localhost...è normale?

[FFFAB]

Ciao a tutti,
credo ci sia un problema di sicurezza con la 4.4.2: gli IP non vengono più bloccati nemmeno a me dopo X tentativi.
I tentativi sono enormemente di più e il NAS sembra fregarsene... sto un po' indagando i log proprio adesso...
Al momento (e se possibile) suggerisco di disattivare il forwarding dell'interfaccia (tipicamente le 8080 e 443 interne, sia su http che https) e, questo vale in ogni caso, attivare la verifica 2 fasi:

https://www.qnap.com/it-it/how-to/tutor ... in-2-fasi/

Ah.... indicate per cortesia la versione QTS che avete. Nel mi caso 4.4.2-1270

[FFFAB]

P.s. chiedo scusa, ancora una domanda: ogni settimana, alla stessa ora (le 6.00) trovo una connessione del NAS con il localhost...è normale?

Ciao nicolam,

localhost è il lato client del server che dialoga col server (in pratica il NAS "parla" a sè stesso): in genere non c'è da preoccuparsi.
Verifica che l'IP sia realmente l'host locale, cioè 127.0.0.1

https://it.wikipedia.org/wiki/Localhost

[MimmoLagonigro]

ho provato a cambiare il nome all'amministratore cioè "admin" in Pippo per es ma non saprei come fare.
Basterebbe anche poter cambiare questo secondo me.
Almeno su molti dispositivi l'ho fatto vedi modem etc ma sul NAS non riesco.
cmq se interessa ho aperto un ticket a QNAP appena mi rispondono pubblicherò qui il report
non sò se è correlato ma per poter sincronizzare le notifiche ho dato l'accesso a QNAP sull'account google spero non ci siano problemi.

[PiaNi]

ho provato a cambiare il nome all'amministratore cioè "admin" in Pippo per es ma non saprei come fare.
....

C'è il link qualche post più su, dove Qnap dice che non si può fare, ma si può disattivare:
https://www.qnap.com/it-it/how-to/faq/a ... edefinito/

[MimmoLagonigro]

credo ci siano un serio problema di sicurezza con la 4.4.2: gli IP non vengono più bloccati nemmeno a me dopo X tentativi.

ciao FFFAB io ho l'ultima versione del firmware come te.
cmq nel registro io lo vedevo bloccato però gli accessi continuavano.

è possibile accedere al NAS direttamente dal PC senza "mettere" il NAS su internet momentaneamente?
se si come?

a dimenticavo non avevo attivato ne QBelt e nemmeno OpenVPN visto che non riesco a configurarlo nonostante le guide online e i vari video.
e no sò da cosa dipende perchè una volta ci sono riuscito.
ma poi tutto è saltato e quindi ho messo da parte.
anche perchè non ne vuole sapere se ho attivata l'aggregation link ... vebbè questa è un'altra storia scusate la deviazione del discorso

[MimmoLagonigro]

C'è il link qualche post più su, dove Qnap ...

grazie PiaNi appena mi rispondono da QNAP accendo il NAS e provvedo.
avevo anche attivato il controllo a 2 fattori con il cell anche se ...
https://youtu.be/ZGncioc1M_o
se volete dargli un'occhiata

[PiaNi]

grazie PiaNi appena mi rispondono da QNAP accendo il NAS e provvedo.

Non per fare l'antipatico, ma non credo che Qnap possa rispondere in una maniera diversa rispetto alla guida fatta da loro stessi!

[selvaggi]

Ciao a tutti,
credo ci sia un problema di sicurezza con la 4.4.2: gli IP non vengono più bloccati nemmeno a me dopo X tentativi.
I tentativi sono enormemente di più e il NAS sembra fregarsene... sto un po' indagando i log proprio adesso...
Al momento (e se possibile) suggerisco di disattivare il forwarding dell'interfaccia (tipicamente le 8080 e 443 interne, sia su http che https) e, questo vale in ogni caso, attivare la verifica 2 fasi:

https://www.qnap.com/it-it/how-to/tutor ... in-2-fasi/

Ah.... indicate per cortesia la versione QTS che avete. Nel mi caso 4.4.2-1270

ho fatto dei test con il qts 4.4.2-1270 sul mio ts-251 blocca tranquillamente e funziona anche il ripristino dell'ip bloccato
segnalalo sul post del qts 4.4.2 http://www.qnapclub.it/viewtopic.php?f= ... =qts+4.4.2 i vari errori cerchiamoli di tenerli tutti insieme

per chi non sa come configurarlo o se è giusto quello che ha fatto il modo corretto e:
Andiamo nel pannello di controllo e cerchiamo la voce sicurezza, cerchiamo elenco autorizzati/non autorizzati e mettiamo la scelta su nega la connessione dell'elenco. (Inizialmente sarà vuota poi si riempe) passiamo alla voce protezione accesso ip, attiviamo tutte le voci con i valori entro 30 minuti se si superano i 5 errori l'ip viene bloccato per sempre, applichiamo e il gioco è fatto.
se fate delle prove sappiate che se sbagliate per più volte da come impostato il vostro ip verrà bloccato e la macchina con qui lavorate rimarrà bloccata. per ripristinare la macchina bisogna che entrate con un altro pc, cellulare o tablet.

[MimmoLagonigro]

Non per fare l'antipatico, ma non credo che Qnap possa rispondere in una maniera diversa rispetto alla guida fatta da loro stessi!

hai capito male io mi riferisco al ticket aperto non centra con il consiglio che mi hai dato.
anzi ribadisco che ti ringrazio...
ma perchè siete sempre così permalosi e fraintendete sempre tutto ?
è normale che se posto qui è per chiedere aiuto e quindi manco mi sogno lontanamente di fare ne l'acido ne tentomeno di prendere in giro qualcuno

per chi non sa come configurarlo ..

grazie

[FFFAB]

Allora... da quanto ho visto il problema non è nel blocco, ma banalmente nella notifica: il blocco c'è e funziona (come ha detto selvaggi), ma se anche l'IP è bloccato la notifica di tentato accesso rimane (spaventando non poco...).
Nelle versioni precedenti (non mi chiedete quale perché ricevo talmente pochi attacchi che non lo ricordo e non lo trovo più nei logs) dopo X tentativi e conseguente blocco, non apparivano nemmeno più le notifiche (come dice B747, se ho ben capito).
Non so se sia voluto da Qnap o un banalissimo errore di implementazione, ma l'importante è che funzioni.

[selvaggi]

per chi attiva la verifica in due fasi ricordatevi di copiare il codice che vi da con il barcode su un foglio o altro dispositivo, perchè se per caso perdete l'apparecchio o si cancella l'app non riuscite più ad entrare nel nas.
se invece lo avete salvato basta che lo reimpostiate e ripartite tranquillamente

[FFFAB]

avevo anche attivato il controllo a 2 fattori con il cell anche se ...
https://youtu.be/ZGncioc1M_o
se volete dargli un'occhiata

Ciao Mimmo,
la verifica a 2 fasi è un aumento della sicurezza lato server: certo che se si ha controllo della macchina client (video dal minuto 9.10 in poi) può accadere di tutto (questo e altro...).
La soluzione è non memorizzare l'accesso e, soprattutto quando ci si logga da macchine non sotto il nostro totale controllo, farlo con un utente limitato (non administrator), e RIGOROSAMENTE facendo il logout a termine sessione.

Ah... la soluzione migliore è tenere il client (PC) pulito...

[nicolam]

Buonasera a tutti, anch'io avevo verificato che il blocco dell'IP partiva dopo i 5 tentativi (mia restrizione) ma continuava a notificare il tentativo. Non capivo perché, abbastanza bizzarro.
Per quanto riguarda il collegamento settimanale alle 6.00 yes, si connette con il localhost 127.0.0.1
Infine, ha senso quindi impostare un admin diverso disattivando quello di default? Ci sono controindicazioni? Mi sembra un modo astuto per evitare attacchi sul NAS, piuttosto che modificare la porta 8080 ovvero configurare il doppio passaggio (che è una palla).
Grazie a tutti, buona notte!

[nicolam]

Ciao a tutti,
credo ci sia un problema di sicurezza con la 4.4.2: gli IP non vengono più bloccati nemmeno a me dopo X tentativi.
I tentativi sono enormemente di più e il NAS sembra fregarsene... sto un po' indagando i log proprio adesso...
Al momento (e se possibile) suggerisco di disattivare il forwarding dell'interfaccia (tipicamente le 8080 e 443 interne, sia su http che https) e, questo vale in ogni caso, attivare la verifica 2 fasi:

https://www.qnap.com/it-it/how-to/tutor ... in-2-fasi/

Ah.... indicate per cortesia la versione QTS che avete. Nel mi caso 4.4.2-1270

ho fatto dei test con il qts 4.4.2-1270 sul mio ts-251 blocca tranquillamente e funziona anche il ripristino dell'ip bloccato
segnalalo sul post del qts 4.4.2 http://www.qnapclub.it/viewtopic.php?f= ... =qts+4.4.2 i vari errori cerchiamoli di tenerli tutti insieme

per chi non sa come configurarlo o se è giusto quello che ha fatto il modo corretto e:
Andiamo nel pannello di controllo e cerchiamo la voce sicurezza, cerchiamo elenco autorizzati/non autorizzati e mettiamo la scelta su nega la connessione dell'elenco. (Inizialmente sarà vuota poi si riempe) passiamo alla voce protezione accesso ip, attiviamo tutte le voci con i valori entro 30 minuti se si superano i 5 errori l'ip viene bloccato per sempre, applichiamo e il gioco è fatto.
se fate delle prove sappiate che se sbagliate per più volte da come impostato il vostro ip verrà bloccato e la macchina con qui lavorate rimarrà bloccata. per ripristinare la macchina bisogna che entrate con un altro pc, cellulare o tablet.

Io per tagliar corto ho impostato 5 accessi in 1 minuto, nell'angolo per 60 minuti. Così mi sento più tranquillo.

[FFFAB]

Io per tagliar corto ho impostato 5 accessi in 1 minuto, nell'angolo per 60 minuti. Così mi sento più tranquillo.

Ciao,
a volte 5 accessi al minuto possono essere molti: ti conviene aumentare il tempo... 5 minuti è un po' più sensato secondo me.